Audit de Securitate pentru Directiva NIS

  • Blog
  • Audit de Securitate pentru Directiva NIS
Audit de Securitate pentru Directiva NIS
  • Admin
  • August 31, 2021
  • No Comments

Directiva NIS necesită un set de măsuri care urmează să fie puse în aplicare în ceea ce privește securitatea rețelei și a informațiilor, începând cu anul 2021. Aceste măsuri sunt obligatorii pentru furnizorii de servicii digitale (DSP) care furnizează servicii DNS, IXP și TLD și pentru operatorii de servicii esențiale (OES).

Conform directivei NIS, OES fac obiectul unor audituri periodice din partea entitatilor autorizate in acest scop, în timpul cărora se va inspecta eficacitatea programelor lor de securitate. Chiar dacă DSP-urile nu sunt supuse unor astfel de audituri periodice, acestea ar putea suferi aceleași sancțiuni dacă se constată că sunt neconforme, în special în urma unui incident.

Compania SafeByte Consulting este autorizata de catre Centrul Național de Răspuns la Incidente de Securitate Cibernetică, CERT-RO, sa efectueze Audituri de Securitate cibernetica pentru directive NIS.

Serviciile de Audit aliniate cu directiva NIS oferite de catre SafeByte va oferi organizației dvs. încredere în capacitatea sa de a indeplini cerintele de conformitate si de a răspunde eficient la incidentele de Securitate cibernetica.

Auditul de Securitate cibernetica NIS constă din două etape cheie: un audit inițial al controalelor dvs. actuale de securitate, urmat de un raport detaliat care indică nivelul de conformitate al organizației dvs. Acest raport va conține, de asemenea, sfaturi privind eliminarea neconformitatilor.

Un audit de securitate a informațiilor este o evaluare a controalelor de management de securitate implementate în cadrul unui sistem IT și / sau infrastructură și este aplicabil atât mediului de afaceri OES, cât și DSP. Se vor evalua (un eșantion de) dovezi (de exemplu, jurnale de computer) obținute din sistemele informaționale și tehnologice operaționale ale unei organizații și se determine starea operațională a organizației (adică dacă există dovezi că controalele implementate sunt care funcționeze eficient în conformitate cu nivelul necesar de asigurare a securității).

Următoarele măsuri de securitate pot fi, de asemenea, utilizate de OES sau DSP ca instrument de autoevaluare a maturității practicilor pe care le urmează în combinație cu modele de maturitate a capacității bine cunoscute (CMM), cum ar fi Modelul de maturitate a capacității (CMM®) și Integrarea modelului de maturitate a capacității (CMMI) sau Modelul de maturitate a capacității de dezvoltare a afacerii (BD-CMM®). În principiu, conceptele fundamentale ale CMM ca model pentru optimizarea procesului global de audit de securitate IT (și OT) pot fi aplicate și scalate pentru a fi aplicabile oricarei entitati din sfera NIS.

Potrivit NIS, DSP-urile trebuie să ia măsuri tehnice și organizaționale adecvate și proporționale pentru a gestiona riscul pe care îl reprezintă securitatea rețelei și a sistemelor de informații.

Măsurile de securitate asigură un nivel omogenizat de securitate a rețelelor și a sistemelor de informații adecvate riscului prezentat pentru DSP în întreaga Uniune. În conformitate cu articolul 16 litera (a) din directiva NIS și actul său de punere în aplicare, securitatea rețelei DSP și a sistemelor de informații și a mediului lor fizic trebuie să includă următoarele elemente:

a) securitatea sistemelor și instalațiilor:  înseamnă securitatea rețelelor și a sistemelor de informații și a mediului fizic al acestora, incluzând, în mod indicativ, măsuri precum gestionarea sistematică a sistemelor de rețea și informație, securitatea fizică și de mediu, securitatea furnizorilor și controalele de acces la rețea și sisteme de informații;

b) gestionarea incidentelor: În ceea ce privește gestionarea incidentelor, măsurile luate de furnizorii de servicii digitale trebuie să includă:

i. procese și proceduri de detectare a incidentelor actualizate și testate;

ii. procese și politici privind raportarea incidentelor;

iii. un proces de răspuns la incidente în conformitate cu procedurile stabilite; și

iv. o evaluare a gravității incidentului, precum și colectarea și analiza informațiilor relevante care pot servi drept dovezi și pot susține un proces de îmbunătățire continuă.

c) managementul continuității activității: înseamnă capacitatea unei organizații de a menține sau, după caz, de a restabili furnizarea de servicii la niveluri predefinite acceptabile în urma unui incident perturbator;

d) monitorizare, audit și testare: înseamnă măsurile adecvate, inclusiv stabilirea și menținerea politicilor privind:

i. efectuarea unei secvențe planificate de observații pentru a evalua dacă sistemele de informații mențin funcționalitatea așa cum a fost intenționată inițial;

ii. inspecția și verificarea pentru a verifica dacă se respectă un standard sau un set de linii directoare; și

iii. procesul destinat să dezvăluie defecte în mecanismele de securitate ale unei rețele și a unui sistem informațional care protejează datele și mențin funcționalitatea așa cum se intenționează.

e) conformitatea cu standardele internaționale: standardele și specificațiile europene sau internaționale acceptate ca relevante pentru securitatea rețelelor și a sistemelor de informații, inclusiv standardele naționale existente, pot fi, de asemenea, utilizate.

Pentru asistenta in asigurarea conformitatii organizatiei dumneavoastra cu Directiva NIS si pentru efectuarea Auditurilor de Securitate, va invitam sa ne contactati.

Referinte:

https://www.enisa.europa.eu/publications/minimum-security-measures-for-digital-service-providers/
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2018.026.01.0048.01.ENG
http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=53643
https://www.iso.org/iso-31000-risk-management.html
https://na.theiia.org/standards-guidance/Public%20Documents/IPPF%202013%20English.pdf

Copyright @2020 SafeByte. All rights rezerved.